陳利強(qiáng)

對于近年來備受關(guān)注的信息安全領(lǐng)域，2018年注定是命運(yùn)多舛的一年。全球重大數(shù)據(jù)泄露事件頻發(fā)，數(shù)量級(jí)與影響力已經(jīng)到了令人瞠目結(jié)舌的程度，造成數(shù)以億萬計(jì)無法挽回的損失。國內(nèi)外知名云計(jì)算平臺(tái)屢屢出現(xiàn)由于軟硬件故障而導(dǎo)致租戶數(shù)據(jù)無法訪問，后續(xù)引發(fā)一系列焦點(diǎn)問題。

自2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》正式實(shí)施以來，從各大部委到各行各業(yè)，從大中型企事業(yè)單位到國家重點(diǎn)扶持的自主雙創(chuàng)企業(yè)，對于由網(wǎng)絡(luò)安全事故而導(dǎo)致的信息安全風(fēng)險(xiǎn)及危機(jī)，有了更明確的專業(yè)法律意識(shí)，希望能獲得更有效、更切實(shí)可行的保障措施和方案。在當(dāng)前的大環(huán)境下，信息安全保險(xiǎn)呼之欲出。

企業(yè)資產(chǎn)數(shù)字化帶來信息安全風(fēng)險(xiǎn)

在“云大物移”迅速發(fā)展的大環(huán)境下，眾多企業(yè)都面臨并實(shí)踐著資產(chǎn)數(shù)字化轉(zhuǎn)型之路。企業(yè)生產(chǎn)離不開數(shù)據(jù)，從管理、決策到研發(fā)、制造、運(yùn)維，企業(yè)服務(wù)離不開數(shù)據(jù)，從行為數(shù)據(jù)、通知數(shù)據(jù)到交易數(shù)據(jù)、反饋數(shù)據(jù)。數(shù)據(jù)依賴前所未有，數(shù)據(jù)價(jià)值與日俱增。

信息安全風(fēng)險(xiǎn)及相應(yīng)的數(shù)據(jù)黑產(chǎn)鏈條，與高聚合存放的數(shù)據(jù)價(jià)值密切相關(guān)。對于每一位IT決策者，發(fā)現(xiàn)并承擔(dān)由企業(yè)資產(chǎn)數(shù)字化而帶來的信息安全風(fēng)險(xiǎn)，成為當(dāng)下在日常管理中需要應(yīng)對的重要問題。

信息安全風(fēng)險(xiǎn)需要數(shù)字化管理

海量數(shù)據(jù)要想最終產(chǎn)生價(jià)值，需要經(jīng)過收集、清洗、轉(zhuǎn)換、標(biāo)記、預(yù)測、應(yīng)用等一系列過程。對于其中可能產(chǎn)生的信息安全風(fēng)險(xiǎn)，要從隱患識(shí)別、安全加固、風(fēng)險(xiǎn)轉(zhuǎn)移、危機(jī)應(yīng)對、事后彌補(bǔ)等各個(gè)層面去綜合考量。目前，信息安全主要是企業(yè)IT部門的關(guān)注范疇，因此企業(yè)對于信息安全的認(rèn)知和投入，往往只是集中于隱患識(shí)別和安全加固這兩個(gè)階段。

信息安全風(fēng)險(xiǎn)的隱蔽性高，要求更專業(yè)化的隱患識(shí)別和安全加固技術(shù)去發(fā)現(xiàn)和應(yīng)對。信息安全風(fēng)險(xiǎn)的破壞性強(qiáng)，要求更具前瞻性的風(fēng)險(xiǎn)轉(zhuǎn)移、危機(jī)應(yīng)對，以及更有效的事后彌補(bǔ)。在企業(yè)資產(chǎn)數(shù)字化的背景下，信息安全風(fēng)險(xiǎn)也需要進(jìn)行數(shù)字化管理。數(shù)字化風(fēng)險(xiǎn)的解決和應(yīng)對，需要得到公司決策層、業(yè)務(wù)部門和技術(shù)部門的共同關(guān)注。

由此，信息安全保險(xiǎn)應(yīng)運(yùn)而生，成為駕馭風(fēng)險(xiǎn)應(yīng)對危機(jī)的利器。信息安全保險(xiǎn)主要解決兩方面問題：首先，保障企業(yè)網(wǎng)絡(luò)安全，解決發(fā)生數(shù)據(jù)安全事故后的處理費(fèi)用，營業(yè)中斷損失、通報(bào)檢測和調(diào)查費(fèi)用，以及解決第三方提出的賠償;其次，保障IT職業(yè)責(zé)任，解決IT人員因疏忽或過失而造成的客戶損失等。

信息安全保險(xiǎn)實(shí)現(xiàn)多方價(jià)值

對于科技創(chuàng)新時(shí)代信息化建設(shè)方方面面的重要角色，信息安全保險(xiǎn)能夠應(yīng)對關(guān)鍵問題，實(shí)現(xiàn)多方價(jià)值。

信息安全保險(xiǎn)之于甲方企業(yè)，其核心意義在于實(shí)質(zhì)有效的工作價(jià)值評(píng)估，對相關(guān)責(zé)任管理和技術(shù)人員進(jìn)行職業(yè)責(zé)任保護(hù)，保障企業(yè)數(shù)據(jù)安全，前瞻應(yīng)對網(wǎng)絡(luò)攻擊，解決勒索病毒，規(guī)避職業(yè)風(fēng)險(xiǎn)。

信息安全保險(xiǎn)之于乙方企業(yè)，其核心意義在于為企業(yè)自身增信，在項(xiàng)目可控、職業(yè)風(fēng)險(xiǎn)、甲方企業(yè)系統(tǒng)和數(shù)據(jù)安全等方面，提供安全承諾和保障，增加更具價(jià)值的合作籌碼。目前，大多數(shù)跨國企業(yè)和部分國內(nèi)企業(yè)，在尋找技術(shù)合作時(shí)明確要求乙方具備信息安全保險(xiǎn)，作為有效保障。

信息安全保險(xiǎn)之于平臺(tái)/數(shù)據(jù)企業(yè)，其核心意義在于衡量對客戶/股東的誠意，在數(shù)據(jù)安全、網(wǎng)絡(luò)攻擊、勒索病毒、職業(yè)風(fēng)險(xiǎn)等方面，對服務(wù)提供方和服務(wù)使用方提供有效保障，對服務(wù)平臺(tái)和被服務(wù)企業(yè)的損失，能進(jìn)行有效定責(zé)、定損和賠償。

構(gòu)筑信息安全利益共同體

信息安全保險(xiǎn)的重要意義，不只是提供保險(xiǎn)產(chǎn)品，而是通過金融工具，構(gòu)筑一個(gè)更具價(jià)值和效率的信息安全利益共同體。

首先，從專業(yè)角度，保險(xiǎn)公司的業(yè)務(wù)實(shí)質(zhì)就是收取保費(fèi)和收購風(fēng)險(xiǎn)。商業(yè)保險(xiǎn)公司的盈利取向，要求具有比保險(xiǎn)客戶更高的風(fēng)險(xiǎn)承擔(dān)能力。這種承擔(dān)能力，既體現(xiàn)在技術(shù)方面，要做好保險(xiǎn)的核保風(fēng)控，也體現(xiàn)在經(jīng)濟(jì)方面，要做好事故的理賠補(bǔ)償。

其次，從風(fēng)控角度，保險(xiǎn)公司會(huì)和企業(yè)一起，對所面臨的信息安全風(fēng)險(xiǎn)進(jìn)行科學(xué)核保和保中風(fēng)控，幫助企業(yè)做好持續(xù)性的信息安全評(píng)估。保險(xiǎn)公司會(huì)通過費(fèi)率因子，對風(fēng)險(xiǎn)做出準(zhǔn)確的數(shù)字化計(jì)量，為客戶提供更有效的保障措施和應(yīng)對方案。

第三，從經(jīng)營角度，作為責(zé)任險(xiǎn)分支的信息安全保險(xiǎn)，能夠達(dá)到為企業(yè)增信的效果。當(dāng)企業(yè)的IT系統(tǒng)及信息安全防控體系，通過了保險(xiǎn)公司的風(fēng)控評(píng)估，則在一定程度上為企業(yè)在信息安全方面的能力提供了有力證明，并減少客戶方及合作方對可能出現(xiàn)信息安全問題之后引發(fā)損失補(bǔ)償糾紛的擔(dān)心。

最后，從理賠角度，信息安全保險(xiǎn)最具價(jià)值的地方，是幫助IT部門實(shí)施了非技術(shù)層面的風(fēng)險(xiǎn)防御。特別是在出現(xiàn)了業(yè)務(wù)收入損失、法律責(zé)任糾紛等問題需要支付相應(yīng)賠款時(shí)，保險(xiǎn)公司能夠協(xié)助找到專業(yè)處理團(tuán)隊(duì)，在有效解決問題的同時(shí)，合理降低保險(xiǎn)公司的理賠支出，達(dá)到雙贏的效果。

信息安全保險(xiǎn)前景展望

任何一個(gè)企業(yè)高度信息化的結(jié)果，都是成為了科技型企業(yè)。在市場競爭日益激烈的今天，在產(chǎn)品同質(zhì)化、服務(wù)同質(zhì)化的今天，衡量企業(yè)競爭力的要素也在發(fā)生重大變化。這些變化主要集中在兩方面：一是企業(yè)的連接能力差異化，能否建立起社群化的客戶運(yùn)營模式，會(huì)將企業(yè)區(qū)分為不同梯次;二是企業(yè)的保障能力差異化，產(chǎn)品、服務(wù)、社群是否基于更為安全可靠的平臺(tái)，突如其來的信息安全“黑天鵝”完全有可能改寫企業(yè)命運(yùn)。

隨著時(shí)代進(jìn)步與科技成熟，信息安全保險(xiǎn)必將全面覆蓋企業(yè)的資產(chǎn)、產(chǎn)品、員工、數(shù)據(jù)、經(jīng)營等各方面的風(fēng)險(xiǎn)保障，為數(shù)字化時(shí)代的科技型企業(yè)提供全方位的保駕護(hù)航。